Engañado, no hackeado

El hacker más peligroso en estos días probablemente no sea un programador con capucha encorvaido encorvado en un sótano, escribiendo furiosamente para romper los cortafuegos. Es el estafador que te envió un mensaje de texto amistoso: "¿Vendrás a mi barbacoa esta noche?" Una simple respuesta podría llevar al robo de sus ahorros o identidad.

A medida que las empresas tecnológicas han fortalecido sus sistemas, los ciberdelincuentes han cambiado de táctica, dándose cuenta de que no necesitan irrumpir si pueden manipular a alguien para que los deje entrar. Ese cambio ha alimentado un aumento en el fraude, con más de 16 mil millones de dólares drenados de las cuentas bancarias el año pasado solo en los Estados Unidos, disparando desde los 3 mil millones de dólares cinco años antes. Dada la gran subnotificación, la cantidad robada a través de delitos de fraude es probablemente mucho mayor.

Una forma en que Microsoft está contrarrestando estas amenazas es asociando a diseñadores de experiencia de usuario (UX) con analistas de amenazas, ayudando a que la protección sea intuitiva para que las personas no tengan que ser expertas para mantenerse seguras en línea. Su nuevo Secure by Design UX Toolkit, probado en 20 equipos de productos, ahora también está disponible para otras empresas y organizaciones, para ayudarles a crear experiencias digitales más seguras.

Los ciberdelincuentes "se han estado aprovechando de cómo funcionan nuestros cerebros" a través de la ingeniería social, manipulando a las personas para que crean y actúen sobre algo que no es cierto, dice Kathy Stokes, directora de programas de prevención de fraude de AARP, una organización sin fines de lucro que aboga por los adultos mayores en los Estados Unidos.

Una ilustración estilizada que muestra una mano sosteniendo un cubo flotante con un símbolo de ojo y escudo, rodeado de cintas que fluyen contra un fondo coral con elementos decorativos.

"La educación es una parte importante para resolver la crisis del fraude, pero ¿adivina qué más es una parte importante? Tecnología que nos llega segura por diseño y segura por defecto", dice Stokes. "Ponemos gran parte de la carga en el usuario final para estar seguro, y no es una batalla justa".

Ese es exactamente el desequilibrio que Margaret Price se propuso a arreglar. Como directora senior de estrategia en Microsoft, Price dice que su misión el año pasado es cambiar la forma en que las decenas de miles de gerentes de producto, investigadores de usuarios, diseñadores y otros de la compañía piensan sobre la seguridad, viendo el diseño como una primera línea de defensa.

"La mayoría de los problemas de seguridad son causados por errores humanos", dice Price. "Ya sea una credencial robada, una configuración de privacidad confusa o datos expuestos accidentalmente, estos a menudo son resultados de un mal diseño".

Los esfuerzos de Price se derivaron de la Iniciativa de Futuro Seguro para toda la empresa que se lanzó en 2023 y convirtió la seguridad en la máxima prioridad de todos los empleados. Price reunió a un equipo y entrevistó a más de 70 expertos en seguridad para comprender las vulnerabilidades comunes y aprender cómo los ciberdelincuentes explotan las brechas de diseño. El resultado: un kit de herramientas que ayuda a los equipos de producto a infintar la seguridad en la experiencia del usuario desde el principio, en lugar de adaptarla más tarde. El kit de herramientas se ha implementado para 22.000 empleados, y ahora otras empresas están empezando a usarlo para ayudarles a diseñar experiencias más seguras e intuitivas utilizando productos de Microsoft.

Es un enfoque distinto y una nueva forma de pensar tanto sobre la seguridad como sobre el desarrollo de productos.

Una persona escribiendo en un portátil rodeada de símbolos de seguridad digital que incluyen cubos con iconos de ojos y escudos, asteriscos de contraseña y elementos de huellas dactilares sobre un fondo amarillo y negro.

La experiencia de usuario generalmente ha sido una ocurrencia tardía en seguridad, dice David Weston, vicepresidente corporativo de seguridad empresarial y de sistemas operativos de Microsoft. Los equipos de producto no se dieron cuenta durante bastante tiempo de que si los usuarios estaban inundados de indicaciones de sí o no, por ejemplo, se acostumbrarían a hacer clic sin leer realmente las alertas de riesgo.

"A veces el impacto fue catastrófico", recuerda, señalando que el reciente cambio hacia ver a los diseñadores como "nuestros defensores más importantes" ha hecho una diferencia "noche y día".

Este enfoque de diseño primero ya está apareciendo en los productos de Microsoft, dice Marcus Ash, quien dirige el diseño y la investigación de Windows.

Smart App Control utiliza IA para bloquear la ejecución de aplicaciones desconocidas o sospechosas. No solo detiene la amenaza, sino que explica por qué y sugiere alternativas más seguras de la tienda de aplicaciones de Microsoft, ampliando efectivamente el alcance de los profesionales de la seguridad a los usuarios cotidianos.

Las alertas de phishing de Microsoft Teams ahora muestran direcciones de correo electrónico completas, en lugar de solo un nombre, para exponer a los imitadores y marcar cuando un dominio no coincide con la empresa reclamada de un remitente.

Y las claves de acceso están reemplazando las contraseñas con métodos de autenticación más seguros que también son más fáciles de usar, como el reconocimiento facial o un PIN a través de la experiencia de inicio de sesión de Windows Hello que solo funciona en su máquina y no se puede compartir ni robar. A partir del 1 de mayo, todas las nuevas cuentas de Microsoft no tienen contraseña.

Esa nueva tecnología es un gran ejemplo de cómo un buen diseño va de la mano con la comunicación para ayudar a los usuarios a tomar mejores decisiones de seguridad, dice Weston. Los poderosos avances en seguridad no pueden proteger a los usuarios si no los entienden o no los adoptan, algo que es aún más importante ya que Windows es una plataforma abierta que ofrece a los usuarios más opciones que otros sistemas operativos, dice.

FUENTE: microsoft